BTS_IG CFI Site Paris 1

Les Listes de Controle d'Accès

(Access-Control-Lists)

BTS_IG CFI Site Paris 2

Les Access Lists• Généralités

• Une Liste d'Accès est une séquence d'actions d'autorisation (permit) ou d'interdiction (deny) sur des adresses ou des protocoles de couches supérieures.

• Il existe différents types de Liste d'Accès:

- Standards (Standard) - Etendues (Extended) - Nommées (Named) - Dynamiques

Transmission de paquetssur l'interface

Liste d'AccèsAccès

Ligne Terminal virtuel(IP)

Telnet

BTS_IG CFI Site Paris 3

Les Access Lists• Généralités

• Comment fonctionne une liste d'accès

Paquets entrantssur l'interface

Liste d'Accèsprésente?

Test N°1

Test N°2

Test N°n

Oui

Oui

Oui

Oui

Non

Permitou

Deny

Non

Non

Deny

Non

Permit Traitement du Paquet

Paquet éliminé

BTS_IG CFI Site Paris 4

Les Access Lists• Les numéros de Listes d'Accès

Numéro de Liste d'Accès Description

1 à 99 Access List Standard IP

100 à 199 Access List Etendue IP

200 à 299 Protocole Type-Code Access List

300 à 399 DECnet Access List

400 à 499 XNS Access List Standard

500 à 599 XNS Access List Etendue

600 à 699 Apple Talk Access List

700 à 799 Adresses MAC Acces List

800 à 899 IPX Access List Standard

900 à 999 IPX Access List Etendue

1000 à 1099 IPX SAP Access List

1100 à 1199 Adresses MAC Acces List Etendue

1200 à 1299 IPX Adresses agrégées Access list

1300 à 1399 Access List Standard IP (extension)

2000 à 2699 Access List Etendue IP (extension)

BTS_IG CFI Site Paris 5

Les Access Lists• La syntaxe des Listes d'Accès

● Liste d'accès IP Standard

Router(config)#access-list access-list-number {deny|permit}source [source-wildcard] [log]

● Router(config)# - Configuration en mode EXEC privilégié

● access-list - Nom de la commande

● access-list-number - Numéro de la liste d'accès (1 à 99)

● {deny|permit} - Instruction (l'une ou l'autre)

- deny = interdiction - permit = autorisation

● source - Adresse IP de la source

● source-wildcard - Masque générique

● log - demande de génération d'un message de log

BTS_IG CFI Site Paris 6

Les Access Lists• La syntaxe des Listes d'Accès

● Liste d'accès IP Etendue

Router(config)#access-list access-list-number { permit|deny} protocolsource source-wildcard [operator [port]] destination destination-wildcard[operator [port]] [established] [log]

● Router(config)# - Configuration en mode EXEC privilégié ● destination - Adresse IP de destination

● access-list - Nom de la commande ● destination-wildcard - Masque générique

● access-list-number - Numéro de la liste d'accès (100 à 199) ● operator port - Numéro de Port TCP ou UDP - operator : LT, GT, LE, GE,EQ

● {deny|permit} - Instruction (l'une ou l'autre) ● established - Pour TCP - deny = interdiction - permit = autorisation ● log - demande de génération d'un message de log

● protocol - Protocole à filtrer (IP, ICMP, TCP,UDP)

● source - Adresse IP de la source

● source-wildcard - Masque générique

● operator port - Numéro de Port TCP ou UDP - operator : LT, GT, LE, GE,EQ

BTS_IG CFI Site Paris 7

Les Access Lists• Règles d'écriture

- Il faut passer une commande pour chaque instruction permit ou deny

- Une nouvelle instruction est automatiquement insérée en fin de liste

- Il n'est pas possible de supprimer une ligne de la liste

- Pour modifier une liste d'accès standard ou étendue, il faut d'abord la supprimer puis la recréer

- Une liste de contrôle d'accès se termine toujours par une instruction deny any implicite

- Il faut placer les instructions les plus globales en tête de liste

BTS_IG CFI Site Paris 8

Les Access Lists

• Règles d'écriture

- Le masque générique

- Le masque générique permet de réaliser un masque sur l'adresse source ou destination

- Ce masque permet de sélectionner:

- Un Host - Un sous-réseau - Un intervalle d'adresses de Hosts - Un intervalle d'adresses de réseaux ou sous-réseaux

- Dans ce masque un "0" indique le bit à tester

- Ex: 0.0.0.0 indique "Tester tous les bits de l'adresse IP" ou

L'adresse IP source (destination) du paquet IP émis (reçu) doit correspondre bit pour bit à l'adresse source (destination) de la liste d'accès.

- Le mot-clé host remplace le masque générique 0.0.0.0

- Le mot-clé any remplace le masque générique 255.255.255.255

BTS_IG CFI Site Paris 9

Les Access Lists• Règles d'utilisation

- Les listes d'accès peuvent être utilisées en entrée ou en sortie

- Elles se placent sur les interfaces

- On peut placer une seule liste d'accès par protocole et par sens sur une interface

- Les listes d'accès en entrée sont appliquées dès la réception du paquet par l'interface

- Les listes d'accès en sortie sont appliquées lors de l'émission du paquet par l'interface

- Les listes d'accès standards sont placées près de la destination

- Les listes d'accès étendues sont placées près de la source

BTS_IG CFI Site Paris 10

Les Access Lists• Exemples

- Liste d'accès Standard

1. On veut interdire le host dont l'adresse IP est : 192.168.10.120

Syntaxe de la commande:

Router(config)# access-list 1 deny 192.168.10.120 0.0.0.0

ou

Router(config)# access-list 1 deny host 192.168.10.120

2. On veut interdire le réseau dont l'adresse IP est : 192.168.10.0 255.255.255.0

Syntaxe de la commande:

Router(config)# access-list 1 deny 192.168.10.0 0.0.0.255

3. On veut interdire le sous-réseau dont l'adresse IP est : 192.168.10.8 255.255.255.248

Syntaxe de la commande:

Router(config)# access-list 1 deny 192.168.10.8 0.0.0.7

BTS_IG CFI Site Paris 11

Les Access Lists• Exemples

- Liste d'accès Standard

4. On veut interdire les sous-réseaux dont les adresses IP vont de : 172.16.16.0 à 172.16.48.0 avec un masque égal à 255.255.240.0.

Syntaxe de la commande:

Router(config)# access-list 1 deny 172.16.16.0 0.0.63.255

5. On veut interdire les sous-réseaux dont les adresses IP vont de : 192.168.10.8 à 192.168.10.56 avec un masque égal à 255.255.255.240.

Syntaxe de la commande:

Router(config)# access-list 1 deny 192.168.10.0 0.0.0.63

BTS_IG CFI Site Paris 12

Les Access Lists

- Liste d'accès Etendue

• Exemples

1. On veut interdire les messages ICMP echo de n'importe quelle source vers toute destination.

Syntaxe de la commande:

Router(config)# access-list 101 deny icmp any any echo

2. On veut autoriser l'accès Telnet vers le host dont l'adresse IP est : 192.168.10.140 255.255.255.0 venant du host 200.202.2.2 255.255.255.0 Syntaxe de la commande:

Router(config)# access-list 102 permit tcp host 200.202.2.2 any host 192.168.10.140 eq 23

3. On veut autoriser le trafic IP venant du réseau 191.10.1.0 255.255.255.0 à destination du réseau 80.8.8.0 255.255.255.0

Syntaxe de la commande:

Router(config)# access-list 111 permit ip 191.10.1.0 0.0.0.255 80.8.8.0 0.0.0.255

BTS_IG CFI Site Paris 13

Les Access Lists

- Liste d'accès Etendue

• Exemples

4. On veut autoriser les accès DNS sur le host dont l'adresse est 150.150.150.200 255.255.255.0

Syntaxe de la commande:

Router(config)# access-list 101 permit udp any any host 150.150.150.200 eq 53

5. On veut autoriser le trafic IP venant du réseau 191.10.1.0 255.255.255.0 à destination du réseau 80.8.8.0 255.255.255.0

Syntaxe de la commande:

Router(config)# access-list 111 permit ip 191.10.1.0 0.0.0.255 80.8.8.0 0.0.0.255

BTS_IG CFI Site Paris 14

Les Access Lists• Appliquer des Access-Lists

• Sécuriser l'accès au routeur - Les ports "Terminal virtuel"

• Les listes d'accès étendues peuvent être utilisées pout bloquer Telnet (TCP 23) - Doivent être configurées pour chaque interface IP sur le routeur

• Appliquer une liste d'accès standard aux lignes vty est un meilleur choix.

• RTA(config)#access-list 5 permit 200.100.50.0 0.0.0.255• RTA(config)#access-list 5 permit host 192.168.1.1• RTA(config)#line vty 0 4• RTA(config-line)#access-class 5 in

PortsVirtuels(vty 0-4)

PortPhysique (E0)

0 1 24

3